해외에서 서비스를 제공하는 사업자들이 국내 이용자의 개인정보를 보호하기 위한 법적 의무를 이행하는 데 있어 중요한 변화를 맞이하고 있다. 오는 2025년 10월 2일 개인정보 보호법 개정안 시행을 앞두고, 개인정보보호위원회(이하 개인정보위)가 해외사업자의 국내대리인 지정 현황을 집중적으로 점검한 결과, 국내 이용자들의 개인정보 자기결정권 행사와 침해사고 발생 시 신속한 대응 체계 구축에 필요한 개선 사항이 드러났다.
이번 개인정보위의 점검은 국내에 주소나 영업소가 없는 해외 사업자에 대한 우리 국민의 개인정보 보호 강화라는 근본적인 문제의식에서 출발했다. 과거 정보통신망법에 따라 도입된 국내대리인 제도는 해외 사업자가 국내 이용자의 개인정보를 처리할 때 발생하는 불만 처리 및 피해 구제 절차를 원활하게 하기 위한 장치였다. 그러나 그동안 일부 사업자들은 법적 요건을 충족하고도 국내 법인을 대리인으로 지정하지 않아 실질적인 책임 이행에 대한 우려가 제기되어 왔다.
개정된 개인정보 보호법은 이러한 문제점을 해소하기 위해 구체적인 솔루션을 제시하고 있다. 우선, 해당 해외 사업자가 국내에 설립한 법인이 있는 경우, 그 법인을 국내대리인으로 지정하도록 의무화했다. 이는 국내에서의 법적 지위와 책임 소재를 명확히 하여 이용자 보호를 강화하는 조치다. 또한, 국내대리인의 업무 범위를 불만 처리 및 피해 구제로 구체화하고, 본사에 대한 관리·감독 의무를 부과하며, 이를 준수하지 않을 경우 과태료를 부과하는 등 관리·감독 체계를 강화했다.
점검 결과, 알리익스프레스, 테무, 에어비엔비, 비와이디(BYD), 오라클 등 일부 해외사업자는 이미 자체 설립한 국내 법인을 국내대리인으로 지정한 것으로 확인되었다. 이는 개정법 시행에 대한 적극적인 준비를 보여주는 사례다. 그러나 구글, 메타, 오픈AI, 로보락, 쉬인 등 16개 해외사업자는 국내 법인이 있음에도 불구하고 법무법인이나 별도의 법인을 국내대리인으로 지정하고 있어, 향후 6개월 이내에 국내 법인으로의 변경이 필요한 상황이다. 개인정보위는 이들 사업자를 대상으로 변경 안내 후 조치 결과를 확인할 예정이며, 아직 국내대리인을 지정하지 않은 사업자들에 대해서도 지속적인 점검과 지정을 유도할 계획이다.
이러한 노력은 개정된 개인정보 보호법이 본격 시행되는 2025년 10월 2일 이후 더욱 가시적인 성과를 낼 것으로 기대된다. 국내 법인을 통한 국내대리인 지정이 의무화되고 관리·감독이 강화됨에 따라, 해외사업자는 국내 이용자의 개인정보 침해 사고 발생 시 보다 신속하고 책임감 있는 대응을 할 수밖에 없을 것이다. 이는 곧 우리 국민의 개인정보 자기결정권이 실질적으로 보장되고, 피해 발생 시에도 효과적인 구제 절차를 기대할 수 있음을 의미한다. 개인정보위는 앞으로도 관련 안내서 발간 및 홍보 강화를 통해 해외사업자들의 법규 준수를 유도하고, 국내 이용자들의 개인정보 권리가 충실히 보호될 수 있도록 다각적인 노력을 기울일 전망이다.
About the Author
